Ruby on Rails bacato, Github compromesso

Uno sviluppatore beffa i gestori di Github ottenendo l'accesso di amministratore e lasciando messaggi canzonatori sui server. Guadagna l'espulsione temporanea e la correzione del baco da lui precedentemente identificato
Uno sviluppatore beffa i gestori di Github ottenendo l'accesso di amministratore e lasciando messaggi canzonatori sui server. Guadagna l'espulsione temporanea e la correzione del baco da lui precedentemente identificato

Grave problema di sicurezza per Github, il popolare “repository” che da tempo rappresenta la casa telematica di importanti progetti open come Linux e Ruby. La vulnerabilità in oggetto si trovava proprio nel framework di sviluppo basato sul suddetto linguaggio di programmazione (Ruby on Rails), ed è stata individuata dal ricercatore di sicurezza russo Egor Homakov.

Homakov ha provato a segnalare il problema nel sistema di sviluppo collaborativo di Github, ma il suo primo tentativo è stato infruttuoso e il ricercatore ha così deciso di dare dimostrazione pubblica della gravità della questione sfruttando la vulnerabilità per ottenere l’accesso da amministratore a uno dei progetti ospitati su Github.

Garantitosi l’accesso al sistema, Homakov avrebbe potuto aggiungere ogni genere di file al progetto o anche eliminarlo in maniera definitiva dai server senza alcun problema. Banale il metodo usato per divenire amministratore, vale a dire il semplice upload della sua cripto-chiave pubblica al repository.

Homakov avrebbe potuto fare danni ma si è limitato ad attirare l’attenzione degli admin, guadagnandosi una sospensione temporanea e infine la chiusura del baco presente in Ruby on Rails. Il framework è stato in seguito ulteriormente aggiornato alla versione 3.2.2 per correggere altri problemi di sicurezza non connessi a quello scoperto dal ricercatore russo.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

07 03 2012
Link copiato negli appunti